鄧 斌 石志東 房衛(wèi)東,2* 吳伊蒙 單聯(lián)海

1(上海大學特種光纖與光接入網(wǎng)省部共建重點實驗室 上海 201899)2(中國科學院上海微系統(tǒng)與信息技術研究所無線傳感網(wǎng)與通信重點實驗室 上海 200051)3(上海物聯(lián)網(wǎng)有限公司 上海 201899)4(上海無線通信研究中心 上海 200335)

?

無線傳感器網(wǎng)絡安全多徑路由協(xié)議研究

鄧 斌1石志東1房衛(wèi)東1,2*吳伊蒙1單聯(lián)海3,4

1(上海大學特種光纖與光接入網(wǎng)省部共建重點實驗室 上海 201899)2(中國科學院上海微系統(tǒng)與信息技術研究所無線傳感網(wǎng)與通信重點實驗室 上海 200051)3(上海物聯(lián)網(wǎng)有限公司 上海 201899)4(上海無線通信研究中心 上海 200335)

由于無線傳感器網(wǎng)絡WSNs自身特性及部署環(huán)境特點，其安全面臨巨大挑戰(zhàn)。另一方面，路由協(xié)議設計關注于傳輸效率與能量消耗，信息安全沒有引起足夠的重視，易遭受多種攻擊。安全多徑路由協(xié)議是一種保證WSNs安全的重要技術，研究近年來WSNs安全多徑路由協(xié)議，根據(jù)協(xié)議攻擊防御的特性，把安全多徑路由協(xié)議分為三類，并對每類典型協(xié)議安全技術進行分析，最后指出安全多徑路由協(xié)議未來研究方向。

WSNs 路由協(xié)議 多徑路由 安全

0 引 言

近年來，WSNs作為一項有前景的技術已經(jīng)應用到了許多領域，如軍事戰(zhàn)場監(jiān)控、環(huán)境監(jiān)測、工業(yè)安全監(jiān)測、交通流量控制、遠程醫(yī)療監(jiān)測、森林火災監(jiān)測等。WSNs由許多能源、存儲和計算能力受限的傳感器節(jié)點組成，傳感器節(jié)點負責采集部署區(qū)域內(nèi)的相關物理數(shù)據(jù)(如溫度、濕度、氣壓等)，路由協(xié)議負責數(shù)據(jù)的傳輸，其安全性和數(shù)據(jù)安全密切相關。

WSNs路由協(xié)議有別于其他網(wǎng)絡[1]，這是因為WSNs由成千上萬個傳感器節(jié)點組成，規(guī)模大，基于IP機制的路由協(xié)議不適用；數(shù)據(jù)流量經(jīng)多跳路由傳輸至基站或匯聚節(jié)點；節(jié)點能源、內(nèi)存和計算能力受限，設計路由時必需考慮資源的限制問題。

由于節(jié)點限制，源節(jié)點和目的節(jié)點之間通常只建立一條路由，因此路由節(jié)點故障或鏈路失效會導致路由故障和數(shù)據(jù)損失[2]。此外，如果單徑路由被妥協(xié)，WSNs安全會面臨巨大威脅，然而很多應用(如軍事應用、醫(yī)療監(jiān)測等)涉及敏感數(shù)據(jù)的傳輸，一旦數(shù)據(jù)遭受破壞或妥協(xié)，會嚴重削弱網(wǎng)絡性能，降低WSNs應用品質(zhì)。因此需保護數(shù)據(jù)安全，防止數(shù)據(jù)泄露或被惡意篡改。多徑路由可以提高網(wǎng)絡數(shù)據(jù)的可使用性和可靠性[3]。然而，多徑路由的使用帶來了新的問題。多徑路由增加了數(shù)據(jù)傳輸節(jié)點，同樣增加了攻擊者妥協(xié)節(jié)點、發(fā)動攻擊和竊取數(shù)據(jù)的機會。因此有必要結合安全技術增加多徑路由的安全性、可靠性和可使用性。

1 WSNs路由協(xié)議安全需求

路由協(xié)議負責數(shù)據(jù)傳輸和通信任務的執(zhí)行，因此路由協(xié)議安全性和數(shù)據(jù)安全性正相關，在設計路由協(xié)議時需考慮安全性。

1.1 WSNs絡路由協(xié)議

WSNs路由協(xié)議主要有三種分類模式：功能模式、網(wǎng)絡結構和路由數(shù)目，如圖1所示。

圖1 WSNs路由協(xié)議的分類模式

1) 根據(jù)功能模式分類

(1) 主動路由：數(shù)據(jù)傳輸之前，節(jié)點就已生成路由表，當有數(shù)據(jù)傳輸時，根據(jù)路由表選擇傳輸路徑，節(jié)點定期更新路由表信息。如鏈路狀態(tài)優(yōu)化路由協(xié)議(Optimized Link State Protocol)[4]、標簽路由協(xié)議(Babel Routing Protocol)[5]和目的序列距離矢量路由協(xié)議(Destination sequenced distance vector routing)[6]等。

(2) 被動路由：數(shù)據(jù)傳輸之前節(jié)點不生成路由表，當有數(shù)據(jù)傳輸時，源節(jié)點啟動路由發(fā)現(xiàn)過程，生成通向目的節(jié)點的傳輸路徑，節(jié)點保存路由信息作為其他路由選擇的參考。如ad hoc按需路由距離矢量路由協(xié)議(Ad hoc On-Demand Distance Vector routing)[7]、動態(tài)源路由協(xié)議(Dynamic Source Routing)[8]等。

(3) 混合路由：結合了主動路由和被動路由的特點，首先經(jīng)計算生成所有可能路徑，當需要傳輸數(shù)據(jù)時，不是直接啟動路由發(fā)現(xiàn)過程，而是直接分配已建立的路由。如零知識路由協(xié)議(Zone Routing Protocol)[9]。

2) 根據(jù)網(wǎng)絡結構分類

(1) 平面路由：以傳輸數(shù)據(jù)為中心，根據(jù)數(shù)據(jù)名或標簽和查詢消息生成路由，因此可以消除冗余數(shù)據(jù)。如謠傳路由協(xié)議、SPIN路由協(xié)議(Sensor Protocols for Information Negotiation)[10]和能量感知數(shù)據(jù)中心路由協(xié)議(Energy-Aware Data-Centric Routing)[11]等。

(2) 層次路由：整個網(wǎng)絡分為若干個簇，簇包括一個簇頭節(jié)點和若干簇內(nèi)節(jié)點，首先簇內(nèi)節(jié)點傳輸數(shù)據(jù)給簇頭節(jié)點做進一步融合處理，再經(jīng)簇頭節(jié)點傳送至基站或匯聚節(jié)點。如LEACH路由協(xié)議(Low-energy adaptive clustering hierarchy)[12]、PEGASIS路由協(xié)議(Power-Efficient GAthering in Sensor Information Systems)[13]等。

(3) 地理路由：根據(jù)節(jié)點位置信息生成路由，節(jié)點位置信息可由GPS系統(tǒng)或收發(fā)信號強度得知。如地理和能量感知路由協(xié)議(Geographic and Energy-Aware Routing)[14]、地理隨機轉發(fā)路由協(xié)議(Geographic Random Forwarding)[15]等。

3) 根據(jù)路由數(shù)目分類

(1) 單徑路由：源節(jié)點和目的節(jié)點之間只建立一條數(shù)據(jù)傳輸路由。如BeeSensor路由協(xié)議(An energy-efficient and scalable routing protocol for wireless sensor networks)[16]、EBRP：路由協(xié)議(Energy-Balanced Routing Protocol for Data Gathering in Wireless Sensor Networks)[17]等。

(2) 多徑路由：源節(jié)點和目的節(jié)點之間建立多條數(shù)據(jù)傳輸路由。如Bee-Sensor-C路由協(xié)議(An Energy-Efficient and Scalable Multipath Routing Protocol)[18]、MRCAC路由協(xié)議 (Multipath Routing Protocol Based on Clustering and Ant Colony Optimization)[19]等。

1.2 WSNs路由協(xié)議面臨攻擊

WSNs通常部署在無人值守的戶外區(qū)域或敵對環(huán)境，另一方面路由協(xié)議設計時主要關注的是數(shù)據(jù)傳輸效率和能量有效性，沒有考慮安全性。因此攻擊者可以針對路由協(xié)議發(fā)動攻擊，典型的WSNs路由協(xié)議面臨攻擊有以下幾種[20，21]：

黑洞攻擊：惡意節(jié)點丟棄所有流經(jīng)它的數(shù)據(jù)包，擾亂基站和網(wǎng)絡其他節(jié)點的正常通信，減少網(wǎng)絡數(shù)據(jù)吞吐量；

蟲洞攻擊：兩個惡意節(jié)點勾結形成一條高質(zhì)量的數(shù)據(jù)傳輸隧道，吸引附近節(jié)點經(jīng)隧道傳輸數(shù)據(jù)， 改變網(wǎng)絡的拓撲結構，制造虛假或錯誤的路由信息，減少網(wǎng)絡數(shù)據(jù)吞吐量，擾亂網(wǎng)絡正常通信；

女巫攻擊：惡意節(jié)點竊取或偽造多個合法身份，同一時間出現(xiàn)在網(wǎng)絡不同的地方，破壞數(shù)據(jù)的完整性和可訪問性，降低容錯機制的有效性，觸發(fā)其他攻擊如黑洞攻擊、槽洞攻擊等；

槽洞攻擊：惡意節(jié)點宣稱自己到基站距離最短、最優(yōu)，引誘附加節(jié)點經(jīng)其傳輸數(shù)據(jù)，篡改、偽造和丟棄數(shù)據(jù)包，誤導數(shù)據(jù)包的傳輸，擾亂網(wǎng)絡正常通信；

選擇性轉發(fā)攻擊：惡意節(jié)點選擇性轉發(fā)或丟棄部分流經(jīng)它的數(shù)據(jù)包，篡改路由信息，減少網(wǎng)絡數(shù)據(jù)吞吐量；

Hello 泛洪攻擊：攻擊者高功率廣播Hello消息包，接收節(jié)點誤以為攻擊者是其鄰居節(jié)點，擾亂拓撲的正常性，增加網(wǎng)絡延遲和節(jié)點能耗；

路由信息篡改、偽造或重放攻擊：攻擊者篡改節(jié)點路由信息，制造路由循環(huán)，注入虛假或錯誤的路由信息，丟棄正確路由信息，誤導數(shù)據(jù)包傳輸，耗盡節(jié)點能量，形成網(wǎng)絡分區(qū)；

拒絕服務攻擊：攻擊者向網(wǎng)絡發(fā)送無用數(shù)據(jù)包，占據(jù)更多網(wǎng)絡寬帶，阻礙網(wǎng)絡數(shù)據(jù)的正常訪問，增加節(jié)點能耗，削弱網(wǎng)絡的可使用性，甚至中斷網(wǎng)絡；

節(jié)點妥協(xié)攻擊：正常節(jié)點被妥協(xié)后，會泄露信息，如果泄露的是加密信息，攻擊者可以利用加密信息入侵網(wǎng)絡，此外，正常節(jié)點還能被妥協(xié)為惡意節(jié)點，觸發(fā)其他攻擊，如女巫攻擊、蟲洞攻擊、槽洞攻擊等。

1.3 WSNs路由協(xié)議安全性要求

結合WSNs路由協(xié)議的技術特點與面臨的安全威脅，對其安全性要求主要有以下幾個方面：

機密性在一些無線傳感器網(wǎng)絡重要應用中，機密性是十分重要的，確保路由數(shù)據(jù)只被合法授權用戶訪問，任何敏感數(shù)據(jù)的泄露都會嚴重威脅網(wǎng)絡安全，降低應用性能。因此，數(shù)據(jù)到達目的地之前，應保持機密性。

認證性因為傳感器節(jié)點經(jīng)無線媒介通信，認證有助于節(jié)點檢測惡意數(shù)據(jù)包。此外，認證允許節(jié)點核實數(shù)據(jù)起源，確認發(fā)送者身份，驗證網(wǎng)絡參與實體，確保錯誤數(shù)據(jù)不被注入到網(wǎng)絡中。

完整性在WSNs中，攻擊者可以篡改轉發(fā)數(shù)據(jù)包，而完整性確保數(shù)據(jù)從源節(jié)點傳輸至目的節(jié)點不被攻擊者更改。重要應用如醫(yī)療監(jiān)測依賴數(shù)據(jù)的完整性制定治療方法，如果數(shù)據(jù)數(shù)據(jù)完整性被破壞，數(shù)據(jù)不精確，將會影響決策的制定，削弱應用性能。

新鮮性新鮮性預示消息是即時的，確保不是敵人發(fā)送的舊消息。當WSNs利用共享密鑰通信時，攻擊者可以使用舊密碼發(fā)動重放攻擊，因為新密碼正在更新，然后發(fā)送舊密碼加密的消息至整個網(wǎng)絡。

可用性常WSNs部署的節(jié)點冗余度較高，在路由過程中易遭受節(jié)點失效。因此，可用性是非常必要的，以保證無線傳感器網(wǎng)絡服務的生存能力，即使出現(xiàn)節(jié)點實現(xiàn)失效或網(wǎng)絡攻擊，網(wǎng)絡依然能正常提供服務。此外，可用性與網(wǎng)絡恢復能力和自我恢復的要求高度相關。

2 無線傳感器網(wǎng)絡安全多徑路由協(xié)議

為提高無線傳感器網(wǎng)絡路由協(xié)議的安全性，通常以下幾種安全技術。

2.1 多徑路由協(xié)議

根據(jù)上文所述，WSNs路由協(xié)議可以分為：單徑路由協(xié)議和多徑路由協(xié)議。單徑路由源節(jié)點和目的節(jié)點之間只存在一條數(shù)據(jù)傳輸路徑，而多徑路由則有多條傳輸路徑示。相比單徑路由，多徑路由的優(yōu)勢[22]：

1) 聚合帶寬

數(shù)據(jù)被分割為不同的子數(shù)據(jù)流，經(jīng)不同的路由傳送至目的節(jié)點，可以有效聚合網(wǎng)絡帶寬。當節(jié)點有多個低帶寬鏈路，而需要的帶寬高于單一鏈路所能提供的最大帶寬時，可以經(jīng)多條低帶寬鏈路傳輸數(shù)據(jù)。

2) 平衡負載

單徑路由過度使用會引起網(wǎng)絡擁塞，而經(jīng)多徑路由傳輸數(shù)據(jù)會有效降低了單一路由過度使用的風險，緩和網(wǎng)絡擁塞，降低丟包率。

3) 降低延遲

WSNs采用按需單徑路由時，路由失敗會啟動新路由發(fā)現(xiàn)過程，會增加延遲。而多徑路由由于存在備用路由，當某條路由失效時，馬上啟用備用路由，不用啟動新路由發(fā)現(xiàn)過程。

4) 提高可靠性

由于環(huán)境干擾、節(jié)點故障、節(jié)點資源受限等因素的影響，會降低徑路由協(xié)議數(shù)據(jù)傳輸?shù)目煽啃?。當有?shù)據(jù)包傳輸量大時可能會引起網(wǎng)絡擁塞，導致數(shù)據(jù)包丟失。然而，經(jīng)多徑路由傳輸數(shù)據(jù)可以提高數(shù)據(jù)可靠性，即使某些路徑失效時，數(shù)據(jù)也能到達目的節(jié)點。

5) 提高數(shù)據(jù)安全性

單徑路由中間節(jié)點一旦被妥協(xié)，會導致傳輸數(shù)據(jù)處于危險狀態(tài)。而經(jīng)多徑傳輸，即使出現(xiàn)惡意路徑時，也能經(jīng)其他可靠路由傳輸數(shù)據(jù)包，提高傳輸數(shù)據(jù)的機密性和魯棒性。此外，多徑路由結合編碼技術，數(shù)據(jù)以編碼形式傳輸并只能在目的節(jié)點解碼，可以阻止數(shù)據(jù)被攻擊者竊聽。

6) 提高能量有效性

因為傳感器節(jié)點能量供應受限，降低節(jié)點能耗可以延長傳感器網(wǎng)絡的使用壽命。單徑路由協(xié)議中，同一路徑的過渡使用可能會引起某些節(jié)點能量快速耗盡，引起網(wǎng)絡分區(qū)。而多徑路由避免單一路由的過度使用，從而降低節(jié)點能量快速耗盡的概率。

2.2 通用安全技術

因為WSNs是一個資源受限的系統(tǒng)，其計算能力、內(nèi)存、能量和通信受到制約。因此直接應用傳統(tǒng)網(wǎng)絡的安全技術，必須優(yōu)化傳統(tǒng)安全技術，使其能應用于WSNs，常用的WSNs安全技術如下：

1) 密鑰管理

密鑰管理機制是加密算法的基礎，負責管理加密算法的密鑰。由于WSNs的固有特性，許多成熟的傳統(tǒng)網(wǎng)絡密鑰管理技術不能直接應用到WSNs。在WSNs中，傳感器節(jié)點以哈希鏈的方式存儲密鑰，用于加解密消息。常用的WSNs密鑰管理協(xié)議可以分為：密鑰預分配機制、混合加密機制、單向哈希鏈機制、密鑰注入機制及分簇密鑰管理機制。

2) 加密算法[23]

因為網(wǎng)絡資源限制，WSNs主要利用對稱加密算法如RC5和AES，非對稱輕量級算法如ECC和RSA，加密算法的選擇根據(jù)應用安全需求和已有資源情況。

RC5： RC5是適合軟硬件操作的快速對稱分組加密算法，其加密文本長度、加密輪數(shù)和密鑰長度都是可變的。因此可以權衡資源和安全需求，調(diào)整加密文本長度、加密輪速和密鑰長度，使之能適用于資源受限、安全面臨嚴峻挑戰(zhàn)的WSNs。

AES： AES是一種迭代分組加密算法，主要由線性組件、非線性組件和輪密鑰組成?？梢岳?28 bit、192 bit和256 bit的密鑰加密128 bit的數(shù)據(jù)，加密輪數(shù)依賴預定密鑰的大小通常執(zhí)行10輪、12輪或14輪。因此WSNs能力資源受限，使用AES加密時，密鑰長度取128 bit，執(zhí)行10輪加密。

ECC： ECC是一種廣泛應用在分布式環(huán)境中的非對稱加密算法，憑借其密鑰長度可靈活改變的特性，能適用于資源受限的WSNs。相比相同密鑰長度的其他加密算法，其安全系數(shù)更高。

RSA： RSA是一種典型的非對稱加密算法，其密鑰長度、文本長度可變，所以WSNs資源受限，因此可以應用密鑰短、文本小的RSA加密算法。

3) 哈希函數(shù)

輸入消息產(chǎn)生特定比特的輸出作為消息的摘要，如h(α)→β，即輸入α比特消息，產(chǎn)生β比特輸出，作為消息α消息的摘要。哈希函數(shù)單向不可逆，是數(shù)字簽名和消息認證碼必不可少的組成部分。因為WSNs資源的限制，常用輸出位數(shù)短的哈希函數(shù)，如：生成160 bit輸出的SHA-1(Secure Hash Algorithm)，生成128 bit輸出的MD5(Message Digest Algorithm)。

4) 數(shù)字簽名

發(fā)送者用私鑰加密消息哈希值，生成數(shù)字簽名，接收者用發(fā)送者公鑰解密獲得數(shù)字簽名，并與其新生成的數(shù)字簽名比較，驗證消息源節(jié)點，實現(xiàn)不可抵賴性。因為傳感器節(jié)點經(jīng)無線媒介傳輸數(shù)據(jù)，攻擊者可以注入錯誤數(shù)據(jù)，為保證數(shù)據(jù)安全，需驗證源節(jié)點身份。WSN常用的數(shù)字簽名算法有MD5、RSA和改進的rabin算法。

5) 消息認證碼

MAC(Message Authentication Code)[24]一段消息摘要，用于驗證消息的完整性。因為WSNs經(jīng)無線媒介通信，消息易被敵人篡改，因此需驗證消息的完整性，WSNs常用的MAC有HMAC、密鑰MAC等。

2.3 安全多徑路由協(xié)議

根據(jù)安全多徑路由協(xié)議防御攻擊的特性，協(xié)議可以分為三類如圖2所示。

圖2 WSN安全多徑路由協(xié)議分類模式

1) 基于攻擊緩解的安全多徑路由協(xié)議

該協(xié)議能緩解或降低安全攻擊對網(wǎng)絡造成的影響，相關典型安全多徑路由協(xié)議如下：

Multi-Version Multi-Path(MVMP)[25]路由協(xié)議的主要設計目的是容錯，即使網(wǎng)絡出現(xiàn)節(jié)點妥協(xié)、失效，依然能正常提供服務。MVMP協(xié)議基于以下四個假設：數(shù)據(jù)傳輸之前源節(jié)點和目的節(jié)點之間就已建立多條路由；基站資源豐富不受限制且不能被攻擊者妥協(xié)；基站和傳感器節(jié)點在網(wǎng)絡具體部署之前，就已置入用于會話密鑰生成的加密算法和預分配密鑰；加密算法和密鑰適合資源受限的傳感器節(jié)點。為了實現(xiàn)數(shù)據(jù)安全可靠傳輸，MVMP利用了數(shù)據(jù)分拆技術、前向糾錯技術(FEC)、多徑路由和不同加密算法。FEC利用預定算法在傳輸信息中添加冗余信息，避免傳輸信息重新發(fā)送，因為節(jié)點資源受限，信息重新發(fā)送會消耗大量節(jié)點資源。此外，利用Reed Solomon糾錯算法(RS)實現(xiàn)數(shù)據(jù)的可靠傳輸。MVMP協(xié)議由三個階段組成：數(shù)據(jù)發(fā)送階段、數(shù)據(jù)傳輸階段和數(shù)據(jù)傳輸階段。先把傳輸數(shù)據(jù)分拆為多個不同的部分，然后利用不同的加密算法加密拆分后的數(shù)據(jù)，再經(jīng)不同路徑傳輸至目的節(jié)點。MVMP通過MD5消息認證碼、Skipjack和CCM用于數(shù)據(jù)認證和完整性驗證。如果攻擊者要破譯傳輸數(shù)據(jù)，需知道所有加密算法，因此MVMP可以實現(xiàn)數(shù)據(jù)的安全傳輸。MVMP降低了攻擊者截取和破譯傳輸數(shù)據(jù)的概率，可以同時實現(xiàn)容錯和容忍數(shù)據(jù)傳輸攻擊者入侵。然而，多種不同加密算法的使用增加了節(jié)點資源負擔無線傳感器網(wǎng)絡安全框架SecSens[26]。SecSens適用于異構WSNs，通過廣播認證、密鑰管理、路由算法和En-route Filtering(中途路由濾波器)之間的彼此交互，維護WSNs安全。其中節(jié)點可以是任意簇的簇內(nèi)節(jié)點，因而減輕了單個節(jié)點失效的風險。廣播認證通過共享密鑰生成的MAC驗證發(fā)送者信息。SecSens采用驅(qū)動密鑰、共享對密鑰、簇密鑰和群密鑰滿足不同的安全需求，根據(jù)概率多徑路由算法選擇源節(jié)點和目的節(jié)點之間的多徑路由，通過En-route Filtering過濾虛假報告和錯誤信息。En-route Filtering具體分為三個階段：密鑰生成階段、報告生成階段和驗證階段。密鑰生成階段負責提供含En-route 密鑰的密鑰池。簇頭節(jié)點根據(jù)從所有簇內(nèi)節(jié)點處收集到的信息生成報告，再根據(jù)報告信息生成MAC，最后轉發(fā)報告及其對應MAC至基站。基站根據(jù)報告信息的MAC驗證報告信息的完整性。

WSNs安全多徑路由協(xié)議SMART[27]：SMART采用了密鑰管理機制ETKE(Extended Two-hop Keys Establishment)進行節(jié)點驗證，過程如圖3所示。(a)中虛線表示鄰居節(jié)點間的通信鏈路，實線表示選擇的路由，節(jié)點旁邊的數(shù)字表示該節(jié)點的跳數(shù)信息。(b)中c是一個妥協(xié)節(jié)點(父節(jié)點p的子節(jié)點)，如果沒有任何安全機制，為了吸引大量數(shù)據(jù)流量經(jīng)過它而不被發(fā)現(xiàn)，c把跳數(shù)信息改為2。在(b)中，節(jié)點p和其兩跳鄰居d和e共享一個秘密，p根據(jù)秘密信息生成證據(jù)(當前節(jié)點跳數(shù)值的加密信息)，而c不能解密該秘密信息。節(jié)點d和e可以通過收到的秘密核實節(jié)點c的跳數(shù)值是否正確如圖3(c)所示。節(jié)點部署之前預載一個暫態(tài)初始密鑰KIN和隨機數(shù)Nu，通過偽隨機函數(shù)G計算節(jié)點的主密鑰。兩跳廣播密鑰可以驗證兩跳鄰居節(jié)點信息，回應RREQ消息時，可以利用watchdog技術檢測其一跳鄰居節(jié)點的行為狀況。 如果在某條路徑上連續(xù)兩個節(jié)點被妥協(xié)，SMART可以利用兩跳驗證機制檢測和匯聚節(jié)點或基站規(guī)定不一致的路由信息(如跳數(shù))。如果檢測到兩個連續(xù)妥協(xié)節(jié)點，SMART繞過妥協(xié)節(jié)點，使數(shù)據(jù)能順利傳送至基站或匯聚節(jié)點。

圖3 SMART路由協(xié)議

2) 基于攻擊防御的安全多徑路由協(xié)議

基于攻擊防御的安全多徑路由協(xié)議可以防御一種或多種安全攻擊，利用了其他安全技術，相關典型安全路由協(xié)議如下：

無線傳感器網(wǎng)絡動態(tài)路由選擇和數(shù)據(jù)加密多徑路由協(xié)議 DRSEDS[28]：DRSEDS隨機從源節(jié)點和目的節(jié)點的路徑中選取多條路由，可以有效抵御拒絕服務攻擊和節(jié)點妥協(xié)攻擊。DRSEDS既能使用對稱加密算法又能使用非對稱加密算法RSA，可以根據(jù)具體應用選擇加密算法。

高效節(jié)能節(jié)點不相交多路徑路由協(xié)議EENDMRP(Energy Efficient Node Disjoint Multipath Routing Protocol)[29]：EENDMRP根據(jù)源節(jié)點和目的節(jié)點間路由的能耗情況選擇多條路由，采用RSA和MD5哈希函數(shù)混合的非對稱加密系統(tǒng)，公鑰公開。EENDMRP分為三個階段：路由構建階段、數(shù)據(jù)傳輸階段和路由維持階段。傳輸數(shù)據(jù)時不測量鏈路的剩余能量和服務質(zhì)量。

能量感知多徑路由協(xié)議mEENDMRP[30]：mEENDMRP采用RSA和MD5哈希函數(shù)混合的數(shù)字簽名系統(tǒng)，通過降低節(jié)點的傳輸范圍，減少能量消耗。mEENDMRP由兩個階段組成：路由構建階段和數(shù)據(jù)傳輸階段。在路由構建階段，如果節(jié)點跳數(shù)大于路由構建包跳數(shù)，則節(jié)點接受、處理和轉發(fā)路由構建包，否則更新路由表后丟棄路由構建包。在路由表構建過程中實現(xiàn)節(jié)點距離和公鑰信息的交換。如果節(jié)點距離和公鑰信息能通過接收節(jié)點的驗證，則接收路由構建包，轉發(fā)之前路由構建序列號加1。在數(shù)據(jù)傳輸階段，基于主路徑形成多條替代路由，根據(jù)路由成本選擇發(fā)送路由。如果傳輸數(shù)據(jù)量小選擇的路由數(shù)少，反之選擇路由數(shù)多。mEENDMRP通過多徑路由和調(diào)整節(jié)點傳輸范圍提高網(wǎng)絡的能量有效性。

3) 混合安全多徑路由協(xié)議

混合安全多徑路由協(xié)議結合了基于攻擊緩解和攻擊防御安全多徑路由協(xié)議的特性，既能緩解部分攻擊對網(wǎng)絡造成的影響又能防御某些安全攻擊，相關典型安全多徑路由協(xié)議如下：

基于簇的安全多徑路由協(xié)議SCMRP[31]：在節(jié)點部署之前，節(jié)點配置一個唯一的ID(Identity)、證書、共享密鑰(和基站共享)及一個基站公鑰。協(xié)議的具體過程分為5個階段：(1)鄰居信息監(jiān)測和網(wǎng)絡拓撲構建階段；(2)對密鑰分配階段；(3)簇形成階段；(4)數(shù)據(jù)傳輸階段；(5)簇和路由重構階段。SCMRP可以減少網(wǎng)絡流量，降低能耗。在鄰居信息和路由構建階段，基站通過MAC驗證信息的完整性，采用共享密鑰加密鄰居信息。SCMRP可以檢測女巫攻擊、槽洞攻擊、蟲洞攻擊、選擇性轉發(fā)攻擊、Hello泛洪攻擊和確認欺騙路由攻擊?；臼占泄?jié)點的鄰居信息表，應用DFS(深度優(yōu)先算法)發(fā)現(xiàn)多徑路由，并負責產(chǎn)生對密鑰單播給所有節(jié)點。

概率多徑路由冗余傳輸機制PMRT[32]：PMRT采用基于ID的密鑰管理機制檢測蟲洞攻擊?；贗D的密鑰管理機制利用了公鑰預分配機制，節(jié)點每發(fā)送一條消息，產(chǎn)生一個隨機數(shù)，隨機數(shù)不刪除而是累積。如果累積值超過閾值，節(jié)點重新向其一個鄰居節(jié)點發(fā)送加密消息。服務器負責路由信息的維持，通過矢量空間模型檢測節(jié)點的傳輸路徑。外部攻擊者如果沒有密鑰信息，則不能成功發(fā)動攻擊。此外，服務器比較版本信息數(shù)阻止內(nèi)部攻擊者。PMRT減少了網(wǎng)絡的通信消耗，因此減少了節(jié)點的能耗，然而PMRT只能檢測蟲洞攻擊。

異構傳感器網(wǎng)絡安全路由和廣播認證機制HRBAH[33]：基站負責產(chǎn)生簇頭節(jié)點路由表，而簇頭節(jié)點負責產(chǎn)生簇內(nèi)節(jié)點路由表，因此減少簇頭節(jié)點的計算負載。HRBAH協(xié)議分為兩個階段：路由發(fā)現(xiàn)階段和數(shù)據(jù)轉發(fā)階段。在路由發(fā)現(xiàn)階段，基站向網(wǎng)內(nèi)所有簇頭節(jié)點廣播路由查詢消息，簇頭節(jié)點收到路由查詢消息后重新向簇內(nèi)節(jié)點廣播。簇內(nèi)節(jié)點回應查詢消息后，簇頭節(jié)點得到拓撲信息。HRBAH使用TESLA 和Compressed Bloom Filters結合的認證廣播。在數(shù)據(jù)轉發(fā)階段，節(jié)點根據(jù)路由表和鄰居節(jié)點通信。HRBAH可以防御擁塞攻擊、選擇性轉發(fā)攻擊、Sink hole攻擊、Worm hole攻擊和Dos攻擊。

3 安全多徑路由協(xié)議分析

根據(jù)使用的安全技術，對上述安全多徑路由協(xié)議進行整理分析，結果如表1所示。

表1 安全多徑路由協(xié)議

盡管安全路由協(xié)議可以提高網(wǎng)絡安全性，但也存在缺陷，如mEENDMRP使用非對稱加密算法的使用增加了節(jié)點計算的復雜性，不能防御蟲洞攻擊、女巫攻擊。如果不考慮節(jié)點數(shù)目及網(wǎng)絡規(guī)模，節(jié)點的傳輸范圍的擴大可能導致能量損失。SMART使用非對稱加密算法增加了節(jié)點計算的復雜性，不能預防槽洞攻擊、選擇性轉發(fā)攻擊，當有新的節(jié)點加入時，必需啟動密鑰更新，增加能量消耗。PMRT只能防御蟲洞攻擊，在實際應用時會面臨更多威脅，不利于PMRT的實際應用。

針對安全多徑路由協(xié)議，目前待研究解決的問題如下：

1) 路由數(shù)量的選擇

在安全多徑路由協(xié)議中，WSNs安全性和路由數(shù)量的多少有直接聯(lián)系，數(shù)量過少，影響WSNs安全性能的提高，數(shù)量過多，增加網(wǎng)絡能耗。因此必須權衡安全性和能量有效性，選擇最優(yōu)路由數(shù)。

2) 復雜度

大都數(shù)安全多徑路由協(xié)議采用非對稱加密算法，增加了節(jié)點計算的復雜性。因為計算的復雜性和數(shù)據(jù)明文長度和密鑰長度相關，因此需權衡WSNs安全性和節(jié)點計算復雜性，選擇最優(yōu)的明文和密鑰長度組合。

3) 匯聚節(jié)點的動態(tài)性

大都數(shù)安全多徑路由協(xié)議，其匯聚節(jié)點都是靜止的。當源節(jié)點距匯聚節(jié)點遠時，感測數(shù)據(jù)需經(jīng)更多節(jié)點傳輸，才能傳送至匯聚節(jié)點，消耗更多能量。因此可以設計匯聚節(jié)點動態(tài)的安全多徑路由協(xié)議，可進一步減少節(jié)點能耗，縮短消息傳輸平均時間。匯聚節(jié)點在傳感器節(jié)點部署區(qū)域內(nèi)按照某種規(guī)則慢速移動，如隨意移動和三角形、正方形、圓形等有規(guī)則的移動，移動方式依具體應用而定。盡管匯聚節(jié)點的移動會增加其資源消耗，但通常情況下匯聚節(jié)點資源優(yōu)于普通傳感器節(jié)點，因此動態(tài)匯聚節(jié)點安全多徑路由協(xié)議是可行的，但需進一步研究。

4 結 語

隨著WSNs應用的發(fā)展，其安全越來越受到人們的重視。由于WSNs自身特點及部署環(huán)境的限制，傳統(tǒng)安全技術不適用，必須發(fā)展適合WSNs的安全技術。WSNs路由協(xié)議和數(shù)據(jù)安全密切相關，根據(jù)功能模式可以分為主動路由、被動路由和混合路由，根據(jù)網(wǎng)絡結構可以分為平面路由、層次路由和地理路由，根據(jù)路由數(shù)量可以分為單徑路由和多徑路由。安全多徑路由協(xié)議是一種結合安全技術的多徑路由，應用了加密算法、哈希函數(shù)、密鑰管理、數(shù)字簽名和MAC等安全技術。本文研究了近年相關WSNs安全多徑路由協(xié)議，根據(jù)協(xié)議防御攻擊的特性，把安全多徑路由協(xié)議分為三類。盡管安全多徑路由協(xié)議可以提高WSNs安全性能，但還存在不少問題，如路由數(shù)量的選擇、路由選取標準的選擇、數(shù)據(jù)新鮮性和認證性的實現(xiàn)、加密明文和密鑰長度的選取和拓撲的動態(tài)變化。這些問題和WSNs安全性能相關，將來設計安全多徑路由協(xié)議時，需考慮這些問題。

[1] AlyMohamed El-Semary,Mohamed Mostafa Abdel-Azim. New trends in secure routing protocols for wireless sensor networks[J]. International Journal of Distributed Sensor Networks, 2013，12：1-16.

[2] Marjan Radi,Behnam Dezfouli, Kamalrulnizam Abu Bakar. Multipath routing in wireless sensor networks:survey and research challenges[J]. Sensors — Open Access Journal, 2012, 12(1): 651-685.

[3] Chen X, Makki K, Yen K, et al. Sensor network security: a survey[J]. Communications Surveys & Tutorials, IEEE, 2009, 11(2): 52-73.

[4] Ade S A, Tijare P A. Performance comparison of AODV, DSDV, OLSR and DSR routing protocols in mobile ad hoc networks[J]. International Journal of Information Technology and Knowledge Management, 2010,2(2):545-548.

[5] Chroboczek J. The Babel Routing Protocol[S]. RFC 6126, ISSN 2070-1721, 2011.

[6] Perkins Charles E, Bhagwat Pravin. Highly dynamic destination sequenced distance-vector routing (DSDV) for mobile computers[C]//SIGCOMM '94 Proceedings of the conference on Communications architectures, protocols and applications, London England UK, 1994.

[7] Vinod Kumar Verma, Surinder Singh, Nagendra P Pathak. Analysis of scalability for AODV routing protocol in wireless sensor networks[J]. Optik, 2014,125(2):748-750.

[8] David B. Johnson, David A. Maltz. Dynamic source routing in ad hoc wireless networks[J]. The Kluwer International Series in Engineering and Computer Science, 1996, 353(5):153-181.

[9] Pearlman M R, Haas Z J. Determining the optimal configuration for the zone routing protocol[J]. IEEE Journal on Selected Areas in Communications, 1999, 17(8):1395-1414.

[10] Heinzelman W R, Kulik J, Balakrishnan H. A daptive protocols for information dissemination in wireless sensor networks[C]//Proceedings ACM Mobi Com '99, Seattle, USA, 1999.

[11] Xiuzhen Cheng, Joseph Linus.Energy-aware data-centric routing in microsensor networks[C]//Proceeding MSWIM '03 Proceedings of the 6th ACM international workshop on Modeling analysis and simulation of wireless and mobile systems, New York, USA, 2003.

[12] Handy M J, Haase M, Timmermann D. Low energy adaptive clustering hierarchy with deterministic cluster-head selection[C]//Fourth IEEE Conference on Mobile and Wireless Communications Networks, Stockholm, erschienen in Proceedings, Stockholm,Sweden, 2002.

[13] Lindsey S, Raghavendra C S. PEGASIS: Power-efficientGathering in Sensor Information System[C]//Proceedings IEEE Aerospace Conference, Montana, USA, 2001.

[14] Yan Yu, Ramesh Govindan, Deborah Estri. Geographical and energy aware routing: A recursive data dissemination protocol for wireless sensor networks[R].Technical Report UCLA/CSD-TR-01-0023, UCLA Computer Science Department, 2001.

[15] Zorzi M, Rao R R. Geographic random forwarding(GeRaF) for ad hoc and sensor networks: mutlihop performance[J]. IEEE Transactions on mobile Computing, 2003, 2(4): 337-348.

[16] Muhammad Saleem, Israr Ullah, Muddassar Farooq.BeeSensor: An energy-efficient and scalable routing protocol for wireless sensor networks[J]. Information Sciences, 2012(200): 38-56.

[17] Fengyuan Ren E, Jiao Zhang, Chuang Lin. EBRP: Energy-balanced routing protocol for data gathering in wireless sensor networks[J]. IEEE Transactions on parallel and distributed systems, 2011, 22(12):2108-2124.

[18] Xuelian Cai, Yulong Duan, Ying He.Bee-Sensor-C: An energy-efficient and scalable multipath routing protocol for wireless sensor networks[J]. International Journal of Distributed Sensor Networks, 2015: 1-14.

[19] Jing Yang, Mai Xu, Wei Zhao. A multipath routing protocol based on clustering and ant colony optimization for wireless sensor networks[J]. Sensors, 2010, 10(10): 4521-4540.

[20] Singh S K, Singh M P, Singh D K. A survey on network security and attack defense mechanism for wireless sensor networks[J]. International Journal of Computer Trends and Technology, 2011, 5(6): 1-9.

[21] Koffka Khan, Wayne Goodridge. Impact of multipath routing on WSN security attacks[J]. I.J. Intelligent Systems and Applications, 2014, 8(6): 72-78.

[22] Khiani S R, Dethe C G, Thakare V M. Designing A secure and reliable node disjoint multipath routing algorithm and A survey on existing techniques[C]//International Conference on Electronic Systems, Signal Processing and Computing Technologies. IEEE Computer Society,2014:496-500.

[23] Sharma K, Ghose M K, Kumar K. A comparative study of various security approaches used in wireless sensor networks[J]. International Journal of Advanced Science and Technology, 2010, 17(4): 31-44.

[24] Sadaqat Ur Rehman, Muhammad Bilal, Basharat Ahmad. Comparison based analysis of different cryptographic and encryption techniques using message authentication code (MAC) in wireless sensor networks (WSN)[J]. IJCSI International Journal of Computer Science Issues, 2012, 9(2): 96-100.

[25] Ruiping Ma, Liudong Xing, Howard E. Michel.Fault-intrusion tolerant techniques in wireless sensor networks[C]//Proceedings of the 2nd IEEE International Symposium on Dependable, Autonomic and Secure Computing. Washington, DC, USA, 2006.

[26] Faruk Bagci, Theo Ungerer, Nader Bagherzadeh. SecSens-security architecture for wireless sensor networks[C]//2009 Third International Conference on Sensor Technologies and Applications, Athens, Greece, 2009: 449-454.

[27] Lasla N, Derhab A, Ouadjaout A, et al. SMART: Secure multi-paths routing for wireless sensor networks[C]// 13th International Conference Ad-hoc, Mobile, and Wireless Networks, Benidorm, Spain, 2014: 332-345.

[28] Rohini G. Dynamic router selection and encryption for data secure in wireless sensor networks[C]//2013 International Conference on Information Communication and Embedded Systems (ICICES), Chennai, India, 2013.

[29] Shiva Murthy G, Robert John D’Souza, Golla Varaprasad. Digital signature-based secure node disjoint multipath routing protocol for wireless sensor networks[J]. IEEE Sensors Journal, 2012, 12(10): 2941-2949.

[30] Sangeethal R, Yuvaraju M. Secure energy-aware multipath routing protocol with transmission range adjustment for wireless sensor networks[C]// 2012 IEEE International Conference on Computational Intelligence and Computing Research,Coimbatore, India, 2012.

[31] Suraj Kumar, Sanjay Jena. SCMRP: secure cluster based multipath routing protocol for wireless sensor networks[C]//IEEE Sixth International Conference on Wireless Communication and Sensor Networks Allahabad, India, 2010.

[32] Guiyi Wei, Xueli Wang, Yuxin Mao. Detecting wonnhole attacks using probabilistic routing and redundancy transmission[C]// 2010 International Conference on Multimedia Information Networking and Security, Wuhan, China, 2010: 496-500.

[33] Aasma Abid, Mukhtar Hussain, Firdous Kausar. Secure routing and broadcast authentication in heterogeneous sensor networks[C]//2009 International Conference on Network-Based Information Systems, Indianapolis, USA, 2009: 316-320.

RESEARCH ON SECURE MULTI-PATH ROUTING PROTOCOL IN WIRELESS SENSOR NETWORKS

Deng Bin1Shi Zhidong1Fang Weidong1,2*Wu Yimeng1Shan Lianhai3,4

1(Key Laboratory of Specialty Fiber Optics and Optical Access Networks, Shanghai University, Shanghai 201899, China)2(Key Laboratory of Wireless Sensor Network and Communication，Shanghai Institute of Microsystem and Information Technology, CAS, Shanghai 200051, China)3(Shanghai Internet of Things Co., Ltd, Shanghai 201899， China)4(Shanghai Research Center for Wireless Communications, Shanghai 200335, China)

Due to the inherent characteristics of wireless sensor networks itself and the features of deployment environment, its security is facing huge challenges. On the other hand, the routing protocol focuses on the transmission efficiency and energy consumption when designing, but does not give much attention to information security, so it is vulnerable to various attacks. Secure multi-path routing protocol is an important technology to ensure the security of WSNs. We studied the secure multi-path routing protocols of WSNs in recent years, and divided the secure multi-path routing protocols into three categories according to the nature of defense against the WSN attacks, and analysed the security technology of the each typical security technology. In end of the paper we point out the research directions of WSNs secure multi-path routing protocol in the future.

WSNs Routing protocol Multi-path routing Security

2015-06-12。國家自然科學基金青年基金項目(613 02113)；上海市自然科學基金項目(13ZR1440800)；上海市青年科技啟明星計劃項目(14QB1404400)；上海市特種光纖與光接入網(wǎng)重點實驗室開放課題(SKLSFO2014-03)。鄧斌，碩士生，主研領域：無線傳感器網(wǎng)絡路由協(xié)議及用戶認證協(xié)議安全。石志東，研究員。房衛(wèi)東，高工。吳伊蒙，碩士生。單聯(lián)海，副研究員。

TP212

A

10.3969/j.issn.1000-386x.2016.11.061